myccl免杀360简单教程
这个工具很早就有了,通过修改特征码达到免杀
0x01 特征码
文件中的某一串二进制代码,杀毒软件识别到了就会认为这个文件为木马
myccl将00覆盖到文件中,如果此时文件不报毒了说明说明覆盖的地方存在特征码
如M为特征码存在在某一段中aaaaaaMaaaaaaaamyccl将代码覆盖生成三个文件aaaaa aaaaa aaaaa----- aMaaa aMaaa----- ----- aaaaa不报毒 报毒 报毒说明特征码在后面两个文件中,继续缩小范围得到特征码,详细的可以用二进制查看的工具就可以知道myccl的工作原理
然后就是继续这个过程得到特征码的准确位置,当然特征码可能有很多个,还有复合型特征码啥的,还是要具体看情况去找。
0x02 免杀实践
杀软用火绒,被杀的文件为nc
用到的工具有myccl和C32asm
360每个文件都会丢到云上扫描,myccl出来的文件一般都是很多的,可以扫一年)
起始位置可以自己定,也可以不用管就用默认的,数量选选100就好了,长度会自动算好的,点一下生成,会在被选中的文件同目录下生成OUTPUT文件夹
第一段0000是文件的序号,第二段是文件开始的位置,第三段是单位长度
第二个文件是0001,这里应该是文件名排序的问题,E0+17F就是第二个文件的开始
接下来对文件夹杀毒,然后把扫出有毒的文件删除,点击二次处理,提示找到特征码是否继续,点击yes
再次扫描文件夹发现没有报毒文件,点击二次处理,会给出一个特征码分布示意图,这个不用管
继续扫描文件夹,发现没有报毒
点击特征区间
右键复合定位此处特征码
可以看到缩小了特征码的范围,这里的数量也是可以改的,继续改成100重复之前的操作
生成->扫描文件夹->删除报毒文件->二次处理->发现没有报毒->复合定位特征码
现在范围已经确定在两个字节内了可以不用在继续缩小范围
用C32asm打开文件
将nc拖入然后以十六进制打开文件,找到00006678的位置,后面的两个字节就是特征码
可以看到是一个中括号和一个换行符,这个就是nc打印出来的那些内容,修改一下应该不会使程序不能用,把中括号修改一下,随便换个符号
修改好后另存为一下,看看这个修改后的文件能不能使用
是可以正常使用的,help界面的输出被修改了,最后再看一下能不能免杀
0x03 总结
这个方法还是有挺多局限的
也只能针对特定杀软,因为不同杀软直接特征码可能不一样
往期推荐
限 时 特 惠: 本站每日持续更新海量各大内部创业教程,一年会员只需98元,全站资源免费下载 点击查看详情
站 长 微 信: lzxmw777
